勒索病毒技術研究綜述

摘要：隨著基礎設施的不斷增加和發展，互聯網技術已經應用到各個方面，新應用的不斷出現，網絡規模越來越龐大，拓撲結構越來越復雜，網絡安全的管理難度也隨之增加。勒索病毒是一種新型計算機病毒，主要以郵件和程序木馬的形式傳播，具有傳播速度快、危害極大等特點。勒索病毒通過安全加密算法對信息加密，一般情況下無法在合理時間內暴力破解，必須獲得相應的私鑰才可能解密。勒索病毒的更新變種非常快，對常規殺毒軟件具有免疫性。本文從勒索病毒的原理出發，依據攻擊形式、受害者分析、攻擊者分析、攻擊漏洞等方面，找到防護途徑和解決辦法。

關鍵詞：勒索病毒；攻擊原理；防護途徑；解決方法；計算機安全

中圖分類號：TP309 文獻標識碼：A

文章編號：1009-3044（2024）22-0079-03

開放科學（資源服務）標識碼（OSID）

0 引言

隨著互聯網的普及和信息技術的發展，網絡已成為人們生活和工作中不可或缺的一部分。然而，隨之而來的是網絡安全問題的日益嚴峻。其中，勒索病毒作為一種極具破壞性和危害性的網絡威脅，給個人、企業甚至整個社會帶來了嚴重的經濟損失和社會影響。近年來，計算機勒索病毒在全球肆虐，以其高度隱蔽性和高效性備受關注。其攻擊手段也日益多樣化和復雜化，加密技術的發展使攻擊者的技術能力不斷提高，給網絡安全帶來了極大的挑戰[1-2]。

1 勒索病毒概述

1.1 勒索病毒概念

勒索病毒是一種新型的電腦惡意軟件，其主要目的是通過加密或封鎖用戶的文件或系統，然后勒索用戶支付贖金以解密或解除封鎖。它主要通過郵件附件、惡意鏈接、網絡下載等方式傳播。勒索病毒性質惡劣、危害極大，在感染用戶系統后會立即加密用戶文件或封鎖系統，然后顯示勒索信息要求用戶支付贖金，給用戶帶來巨大的損失。勒索病毒通過各種加密算法對文件進行加密，被攻擊者一般無法自行解密文件，因此只有獲得相應的解密私鑰后才有可能破解[3]。

1.2 勒索病毒類型及發展史

勒索病毒的分類主要根據其攻擊目標、傳播途徑和加密技術等方面的不同特征進行劃分。每種類型的勒索病毒都對用戶系統和數據造成不同程度的損害和威脅。主要包括：文件加密型勒索病毒、系統鎖定型勒索病毒、移動設備型勒索病毒、聯網設備型勒索病毒、多功能型勒索病毒等。

1989年，AIDS Trojan是世界上第一個被記錄到史冊中的勒索病毒，之后開始了勒索病毒廣泛傳播的現象。從2013年下半年開始，勒索病毒使用AES和RSA等加密算法來加密某些特定類型的文件，這使受攻擊者進行無密鑰解密幾乎不可能完成，攻擊者會要求受害者必須通過使用虛擬貨幣來支付，以防止交易被追查。2016年隨著漏洞利用工具包的廣泛傳播，漏洞攻擊工具被網絡安全攻擊者廣泛使用[4]。例如，Wanna Cry勒索蠕蟲病毒是破壞性病毒和蠕蟲傳播的聯合。其目的不在于勒索資金，而是要制造影響整個世界的大規模破壞行動。

2 勒索病毒分析

2.1 受害者和攻擊者分析

針對個人用戶，攻擊者利用網頁文件、盜版軟件、外掛軟件對病毒進行偽裝，誘導受害者進行下載并開始運行病毒。運行后，對受害者的計算機進行加密。

針對企業用戶，勒索病毒常見的攻擊方式包括系統漏洞攻擊、遠程訪問弱口令攻擊、釣魚郵件攻擊、Web服務漏洞和弱口令攻擊、數據庫漏洞和弱口令攻擊等[5]。

勒索病毒攻擊者主要有三個步驟進行攻擊，如圖1所示：

1） 嘗試攻擊公網的服務器，并獲得一定的操作權限。

2） 利用這臺機器做中轉，繼續尋找內網中容易受攻擊的機器，進一步在整個內網中擴散攻擊范圍。

3） 在入侵了一定數量的設備后，挖礦木馬和勒索病毒將會向這些設備中植入。

2.2 勒索病毒攻擊原理

操作系統和應用程序軟件的數量、版本眾多。這些系統、軟件和程序都存在各種漏洞，恰恰是這些漏洞的存在使得勒索病毒的攻擊速度更快、效率更高。

勒索病毒的核心技術是加密算法。主流的加密算法之一是RSA加密算法，由Ron Rivest、Adi Shamir和Leonard Adleman提出，是一種非對稱公開密鑰加密算法，常用于數字簽名[6]。RSA加密算法依賴于大質數對P和Q生成一對公鑰e和私鑰d，并使用公鑰e對明文信息M加密，私鑰d對密文C進行解密。加密和解密的公式如（1）和（2）所示：

[[C=Mmodn] （1） [M=Cmodn] （2） ]

加密和解密過程如圖2所示，其中n=P×Q。

勒索病毒基于RSA加密算法，該加解密算法屬于公開密鑰密碼體制，要求密鑰成對出現，一個用于加密，另一個用于解密，并且不可能從其中一個推導出另一個。

下面是一個簡單的勒索病毒加密過程。首先，病毒作者在自己電腦上基于RSA算法生成私鑰A和公鑰A。然后，病毒軟件在目標電腦上隨機生成私鑰B和公鑰B，利用公鑰B將受害者電腦上的文件進行加密，得到加密文件。接著，通過公鑰A將受害者電腦上的私鑰B加密，得到加密私鑰K。最后，刪除受害者電腦上的私鑰B、公鑰A以及受害者文件。具體加密過程如圖3所示。

通過上述加密過程，我們知道受害者主機被感染后僅存有被加密的文件、勒索軟件生成的公鑰B以及加密私鑰K。在解密過程中，我們必須使用攻擊者的加密私鑰A將加密私鑰K解密，得出私鑰B，然后再通過私鑰B將加密文件解密，得到原受害者文件。具體的解密執行過程如圖4所示。

2.3 勒索病毒發展趨勢

近年來，勒索病毒軟件已成為黑客攻擊者組織獲利的主要手段之一，同時也是發展最迅速的網絡安全威脅之一[7]。勒索病毒的發展趨勢如圖5所示：

1） 雙重勒索成為新常態。攻擊者不僅會加密重要數據并勒索贖金，還會竊取大量重要的商業信息，使得受害機構不僅面臨數據泄露的威脅，同時還會在法律法規遵從、財產損失和聲譽等方面受到影響。

2） 互聯網上暴露的物聯網（IoT） 設備成為勒索軟件攻擊的新突破口。

3） 遠程辦公場景的迅速增加，部分原因是網絡開放度提高和接口增加，這為勒索病毒提供了新的攻擊機會。

4） 低成本、高效率、低門檻、云技術的層次化普及，使得云原生數據安全變得尤為重要[8-9]。

3 安全防護技術

3.1 破解難度分析

勒索病毒使用的加密算法越強大，破解的難度就越大。如果加密算法使用的是AES、RSA等公認的安全算法，那么破解的難度會很大，目前還沒有有效的方法可以在合理的時間內暴力破解[10]。

RSA加密算法的加密過程非常迅速，基本可以忽略不計，但解密過程耗時較長。解密時間與解密文件的大小呈線性增長趨勢。在一臺擁有四核2.4GHz處理器、4GB內存的PC機上，模擬一個簡單的RSA加解密過程。在已知RSA加密公鑰和解密私鑰的情況下，對不同大小的文件進行RSA加密，將加密后的內容存儲起來形成密文文件，然后使用已知的RSA私鑰對密文文件進行解密。記錄加解密過程所用時間如下表所示。其中，加解密文件的單位為KB，加解密時間的單位為秒。

由表1可知，隨著文件大小的增加，解密時間也隨之增長。在未知私鑰的情況下，解密的難度非常大，因為破解私鑰需要分解一個已知的大合數n，以找到其質因數p和q。目前，尚無已知的快速算法可以在合理的時間內完成這項任務，尤其是當n非常大時。

總的來說，破解勒索病毒是一項復雜且困難的任務。為了防止勒索病毒對系統造成損害，更關鍵的是做好預防措施，如定期備份數據、保持系統更新、使用安全軟件等。

3.2 防護途徑

隨著勒索病毒威脅的持續增加，安全研究人員和廠商不斷探索和發展各種防御手段和安全防護技術，以有效對抗不斷變化的勒索病毒攻擊。針對勒索病毒，在傳統防御手段的基礎上，使用最新的防護技術包括以下措施：

1） 及時更新和維護安全補丁：關注系統安全公告，及時安裝安全補丁，修復漏洞，提高系統安全性，同時安裝正規的防病毒軟件，定期更新病毒庫。

2） 強化網絡安全措施：增加防火墻、入侵檢測系統、入侵防御系統等安全措施，限制惡意流量傳播和入侵。

3） 安全策略和權限管理：建立嚴格的訪問控制策略，限制用戶訪問權限，防止惡意軟件傳播和惡意操作。

4） 行為分析和異常檢測：利用機器學習和人工智能技術對系統和網絡行為實時監測和分析，及時發現異常行為和惡意活動。

5） 簽名識別和智能防御：利用網絡安全廠商提供的勒索病毒特征庫和智能防御引擎，實時識別和阻止已知的勒索病毒攻擊。

6） 備份和災難恢復：定期備份重要數據并建立完善的災難恢復計劃，以便在遭受勒索病毒攻擊時能快速恢復數據和系統。

此外，加強用戶的安全意識教育，提高他們對勒索病毒的辨識和防御能力也至關重要。綜合利用上述各種防御手段和安全防護技術可以有效提高系統和網絡對勒索病毒的抵抗能力，減少因勒索攻擊造成的損失。

4 結論

勒索病毒作為一種具有極大破壞性的網絡威脅，對個人、企業和整個社會的安全穩定構成嚴重威脅。要有效應對勒索病毒的攻擊，需要采取綜合的安全防護策略，結合技術手段和管理措施，加強對勒索病毒的監測、防護和處置。相信隨著科技的不斷進步和防護技術的不斷完善，我們一定能夠更好地保護網絡安全，確保網絡空間的和平與安全。

參考文獻：

[1] 姜彬，居曉琴，施志剛.勒索病毒的攻擊原理與防范措施探究[J].電腦知識與技術，2023，19（31）：95-97，106.

[2] 張旭，李健珝，張洪飛.市級政務云勒索病毒監測及防護[J].網絡安全與信息化，2023， （11）：145-147.

[3] 董昱宏，宋廣佳.勒索病毒技術發展研究綜述[J].計算機應用與軟件，2023，40（1）：331-343.

[4] 方興東.勒索病毒事件對全球網絡治理的影響[J].中國信息安全，2017（7）：30-32.

[5] 張耕源.論網絡空間安全與攻防技術[J].信息系統工程，2023（12）：137-140.

[6] 薛丹丹，王媛媛，邵一瀟，等.勒索病毒的原理及防御措施[J].網絡安全技術與應用，2023（2）：10-12.

[7] 任澤坤，鄧月銳，鄭梅姣，等.從“勒索病毒”攻擊談我國計算機網絡安全管理現狀[J].中國管理信息化，2017（15）：196-197.

[8] 蔣凡，魏弋翔，莊嚴，等.安全私有云有效應對勒索病毒的原理分析[J].信息網絡安全，2017（8）：83-88.

[9] 趙佩.勒索病毒攻擊事件漏洞分析及應對防護策略[J].電子技術與軟件工程，2019（4）：201.

[10] 王春海，楚小斌，趙志波.如何避免勒索病毒傳播途徑風險[J].網絡安全和信息化，2021（2）：123-127.

【通聯編輯：唐一東】